恶意软件是您不想遇到的不良软件,因为它可能会损害您的 Mac 或导致数据丢失。以下是如何防范它。
随着互联时代安全性日益受到关注,不良行为者的恶意攻击仍然是许多组织和用户面临的问题。
恶意软件可能会植入您的设备上,这可能会导致凭据或数据丢失、操作系统损坏或勒索软件。
随着数十亿数字设备在全球范围内激增以及越来越多的商业活动转向网上,恶意软件已成为日益严重的威胁。
软件安全模型
在软件的早期阶段——在互联网成为主流之前,大多数系统都是开放的,软件可以从任何地方安装。通常它来自 CD-ROM 或软盘。
随着在线软件商店现已成为标准,这不再是一个问题。这是因为应用程序店面会在发布之前检查大多数软件以确保安全。
尽管如此,糟糕的软件有时也会被漏掉。
苹果试图通过引入精选商店来解决这个问题,例如 iOS App Store。但即便如此,偶尔也会发布一些不良软件。
精选商店更加安全可靠,但它们仍然不是万无一失的。
Mac 略有不同,因为在早期,它也可以接受任何来源的软件。 Virex 和 Norton Utilities 等经典应用程序有助于“清除”Mac 上的恶意软件。
如今,Mac App Store 具有管理、应用程序收据验证和应用程序公证等功能。但如果某些设置被关闭,Mac 仍然允许从任何地方安装软件。
代码签名、开发者 ID 和 防火墙
多年前,Apple 为 macOS 软件引入了一项额外的安全措施:防火墙。默认情况下,防火墙 与 Developer ID 一起确保下载的 Mac 软件的安全。
通过 防火墙,macOS 开发者可以注册并获得 Apple 颁发的开发者 ID,然后使用该 ID 对他们创建的 Mac 软件进行数字签名。
如果在 macOS 中打开 防火墙,它可以确保应用程序由制作它们的开发人员签名。它还会在 Mac 应用程序首次运行时对非已知注册开发人员的应用程序发出警告。
Mac 用户可以在“系统设置”->“隐私和安全”->“允许应用程序”中选择他们想要允许安装的应用程序:仅限 App Store 的应用程序或 App Store 和已知开发人员。
代码签名服务和应用程序公证可确保用户下载软件时软件有效且未被黑客攻击或恶意攻击。
在系统设置中设置软件安全性。
系统完整性保护 (SIP)
macOS 提供了另一种有助于确保 Mac 安全的系统安全功能:系统完整性保护或 SIP。
SIP 限制允许运行哪些应用程序以及可以在 Mac 上运行哪些代码。默认情况下,只有 App Store 应用程序或来自注册 Apple 开发人员的软件才能运行。
它还限制系统文件在未经授权的情况下被篡改或修改。
可以在终端中关闭 SIP,但不建议这样做。这样做会破坏 macOS 的安全性,并可能允许恶意代码在 Mac 上运行。
csrutil命令行工具可用于检查和更改 SIP 参数。
要在 Mac 上的终端类型中获取 SIP 的当前状态:
csrutil status并按Return 。
权限、升级、套接字和辅助工具
大多数 UNIX 软件都使用特权和特权用户的概念。例如,root 用户拥有无限的安全权限,可以随意更改软件。
出于安全原因,macOS 默认情况下禁用 root 用户。其他用户可能具有其他不同级别的权限,这些权限允许执行某些操作,包括软件安装或删除。
管理员用户拥有更高的权限,并且 macOS 中的许多操作都需要管理员密码。
通过使用临时权限提升,macOS 用户可以在短时间内获得额外的权限。
设计良好的软件应该被考虑在内,以便安全关键代码在称为辅助工具的单独进程中运行。辅助工具确保只有一小部分代码可以使用提升的权限运行,从而限制软件的哪些部分可以执行可能危及系统安全的关键任务。
具有良好分解能力的应用程序会将所有有风险的代码放入辅助工具中,然后在需要权限时在用户获得授权后运行辅助工具。这提高了安全性,也意味着受感染的应用程序无法以提升的权限运行所有代码 – 这是一个安全风险。
其想法是运行帮助程序工具并在最短的时间内提升权限,执行特权操作,然后在帮助程序工具退出时将权限降回之前的级别。
UNIX 域套接字和管道还可用于在进程之间安全地传递信息。
安全守护进程和框架
macOS 是世界上最安全的操作系统之一,但它并非万无一失。
macOS 中的安全性是通过后台进程(守护进程)和应用程序运行时加载到应用程序中的 Apple 代码框架的组合来管理的。这些包括:
- 发射
- 安全(安全服务器)
- XPC服务
- 授权服务.framework
- 安全框架
- 系统配置.框架
- 服务管理框架
- 端点安全框架
- 加密服务
- 代码签名服务
- 钥匙扣服务
- 强化运行时
动态链接确保框架仅在实际使用其 API 或接口时才加载到内存中。
安全的守护进程架构和框架。
上述软件组件提供以下服务:
launchd(启动守护进程)是一个系统范围的守护进程,在后台运行并管理 macOS 中应用程序和其他进程的启动和终止。
secure(安全守护程序)管理安全访问、提升权限、运行工具和某些用户 ID 以及其他安全服务。
XPC Services 管理软件组件之间的安全进程间通信,并与 launchd 一起安全地运行帮助工具。
Authorization Services.framework 管理提示用户输入管理员密码、缓存权限升级以及维护在给定超时后降低权限的计时器。当您的 Mac 提示您输入管理员密码来安装软件或更改设置时,它会向 secure 发送一条消息,以显示管理员密码对话框,以便用户可以输入名称和密码。
Security.framework 管理用户身份(身份验证)并授予对资源的访问权限,保护磁盘上和网络连接上的数据,并在运行之前验证代码的有效性。
System Configuration.framework 管理系统设置并确保只有在提供所需授权的情况下才能更改受限设置。
Service Management.framework 允许应用程序管理启动代理、启动守护程序和登录项。
Endpoint Security.framework 允许开发人员编写自己的系统扩展以增强安全性。
加密服务提供标准加密 API,管理密钥、证书和密码,并生成随机数和哈希值。
代码签名服务提供对构建的软件进行签名和验证的服务,以确保其有效且未被破坏。
钥匙串服务管理系统密钥、证书和身份。
强化运行时(以及 SIP)可保护 macOS 免受代码注入、内存篡改和动态库劫持。 Apple 的 Xcode IDE 包括强化运行时设置,包括允许或禁止即时 (JIT) 代码、使用无符号内存和动态链接器 (DYLD) 环境变量。
在运行恶意软件之前更改环境变量是将恶意代码注入正在运行的应用程序的一种方式。
所有这些组件协同工作,确保 macOS 软件尽可能安全。
零信任的安全概念意味着所有特权软件访问都受到限制,除非特权用户明确授权某些安全操作。零信任意味着默认情况下恶意软件无法在未经特定授权的情况下运行。
您可以在“活动监视器”实用程序中查看 Mac 上当前正在运行哪些守护程序,或者使用终端中的top命令。要使用top类型:
top并按回车键。
这会显示所有正在运行的进程 – 包括守护进程、进程 ID (PID)、运行时、CPU 使用情况、端口等。
礼貌@Benzix
Mac 上的恶意软件
恶意软件可以定义为可以破坏或感染计算机、网络或设备以禁用、损坏或损坏设备,或者通过网络窃取和传输未经授权的数据的恶意软件。
《计算机欺诈和滥用法》将未经特定授权篡改、禁用或访问计算机或网络的行为定为联邦犯罪。它还使得通过网络传输或拦截被盗信息成为犯罪行为。
恶意软件的类型包括(但不限于)病毒、特洛伊木马、恶意应用程序或框架、驱动程序,甚至固件。通过将恶意软件注入网络代码或监听网络通信,也可能发生网络攻击。
勒索软件是一种恶意软件,它窃取公司商业机密或客户数据,然后允许不良行为者要求组织付款,以防止其使用或释放被盗数据。
病毒是小段代码,可以在用户的本地计算机上远程安装和运行,并悄悄地造成严重破坏。
病毒可以损坏或修改应用程序代码、驱动程序、文件、数据库或系统软件以执行某些恶意活动。这可能包括擦除/损坏数据,或修改软件以执行某些恶意行为。
病毒可能是沉默的、无法检测到的、微小的——并且常常被忽视,直到为时已晚。由于病毒几乎可以安装在任何地方,因此一旦感染计算机或设备就很难阻止,甚至更难清除。
过去,病毒甚至会感染存储驱动器或网络路由器等设备的固件,导致它们永久损坏且无法使用。
特洛伊木马通常被认为是一种应用程序,运行时会损害存储的数据或其他已安装的软件并导致其执行某些恶意活动。特洛伊木马的一种常见攻击媒介是用恶意冒充者版本悄悄地替换软件框架或系统组件,这些冒充者版本会链接应用程序,然后在不知不觉中运行。
特洛伊木马使普通应用程序无法意识到,当被黑客攻击的框架 API 被调用时,冒名顶替者会造成损害。特洛伊木马通常以独立应用程序或安装程序、框架和链接库的形式出现。
同样,可以安装设备驱动程序以在使用特定设备时运行恶意代码。网络恶意软件驱动程序尤其臭名昭著,因为它们可以通过网络随意传输数据,而这些数据一旦发送就无法检索或“不可见”。
macOS 安全框架。
恶意固件会感染或替换外部设备内的现有固件,导致它们对正常操作或向设备发送特定标准命令时造成严重破坏。恶意存储设备固件可能是最常见的,因为它可以通过设备中的闪存命令轻松安装,然后导致标准磁盘 I/O 命令触发数据丢失或损坏。
网络攻击以注入网页或数据库命令的恶意代码的形式出现,通常是通过在标准命令和数据末尾添加额外的代码。
例如,缓冲区溢出恶意软件会将少量恶意代码附加到 URL、网页、脚本或网络数据包的末尾,这些代码在客户端计算机上接收并运行时会造成损坏。
缓冲区溢出攻击是最常见的基于 Web 的攻击之一。它们很难检测到,因为大多数网络代码和网页在大多数软件安全模型之外自动运行。
现在,大多数网络浏览器都包含限制可以下载并在其窗口中自动运行的软件类型的设置。
Java 小程序因支持恶意软件下载而闻名。
其他类型的网络攻击包括冒名顶替者、中间人、凭证盗窃、网络钓鱼、电子邮件欺骗和分布式拒绝服务 (DDoS),其中远程计算机向服务器注入大量数据,导致服务器停止工作。
社会工程攻击是欺骗性策略,不良行为者会说服受害者他们是合法的,以便访问其受保护的信息,或导致他们采取一些可能伤害他们的行动。社会工程师还可能试图操纵受害者在不知情的情况下实施犯罪,这样一旦他们被发现,他们就可以责怪别人。
社会工程尤其应用于广阔且很大程度上未知的工业间谍活动(间谍)领域。
网络攻击是一些最常见和简单的事件。
你能做什么
由于经过深思熟虑的 macOS 安全模型和 UNIX 权限,Mac 是一个非常安全的系统。尽管如此,违规行为仍然可能而且确实发生。
由于大多数 Mac 软件运行时的 root 用户被禁用且权限有限,攻击者很难诱骗 macOS 以提升的权限运行恶意代码。经过签名的安全帮助工具使这些尝试变得更加困难,并确保大多数恶意软件无法停留足够长的时间来造成严重损害。
在 secure 和 launchd 的监视下,在没有管理员密码的情况下欺骗 Mac 软件以完全权限运行是很困难的。它也很难击败自身的安全性,因为它只能以具有提升权限的特定操作系统控制的用户身份运行 – 没有它,其他安全软件就无法被授权运行。
Apple 迅速从其应用程序商店中删除大多数恶意软件 只要启用了 SIP,非授权注册 Apple 开发人员的软件就无法在没有用户警告的情况下运行。
您还可以运行各种“更清洁”的应用程序来扫描您的 Mac 和存储设备是否存在恶意软件。但要小心 – 即使是更干净的应用程序在过去也被伪装成恶意软件!
定期进行病毒扫描并从 Mac 中删除可疑应用程序可能有助于降低风险。另一个好的策略是简单地将安装的应用程序数量保持在最低限度,从而缩小攻击面。
您可能希望在单个外部驱动器上安装很少使用的软件 – 然后仅在需要访问该软件时插入驱动器。
将系统扩展、脚本、第三方字体、驱动程序和内核扩展保持在最低限度也是一个好主意 – 这也将减少后台任务开销。
您可以考虑将网络浏览器的安全性设置为最高级别,并默认启用对可疑恶意网站的阻止。这有助于降低来自恶意站点的网络攻击损害您的 Mac 的可能性。
某些浏览器具有阻止所有 Web 小程序下载的设置,以防止危险的特洛伊木马下载。
另外,请确保网络上的所有 WiFi 密码和接入点都是安全的 – 并且不允许匿名登录。某些 Mac 网络设置允许您需要管理员密码才能更改设置。
请务必限制 Mac 上的管理员用户 – 只向绝对需要的用户授予管理员权限,并且仅在需要的时间内授予管理员权限。默认情况下,Mac 上的大多数用户不应具有管理员访问权限。
您可能还想禁用来宾用户。启用来宾用户允许任何远程用户无需密码即可连接到您的 Mac。
另外,除非您绝对需要,否则请在“系统设置”->“共享”中关闭“远程管理”、“远程登录”和“远程应用程序脚本”。
网守和运行时保护
如果您下载并运行不是来自授权开发者 ID 的非 App Store Mac 软件,macOS 会警告您并询问您是否确定要运行它。这是通过 macOS 中名为 防火墙 的部分来完成的。
如果您确定要运行该软件,可以单击 Finder 警报框中的“允许” ,这将允许该软件运行。这个简单的安全检查让您有额外的机会在第一次双击时盲目运行软件之前对其进行验证。
在“系统设置”中将应用程序限制为仅限 App Store 应用程序意味着您只能在 Mac 上安装和运行 App Store 应用程序。这将阻止所有可能在 App Store 之外下载的第三方应用程序运行 – 但您的软件选择将受到更多限制。
有关守护程序和代理如何在 Mac 上工作的背景和历史信息,请参阅 TN2083
守护进程和代理。
另外,请务必阅读 Apple 平台安全指南 和 Apple 的一般安全页面。
Apple 煞费苦心地设计和构建了 macOS 的安全性 – 在大多数情况下,您无需担心 Mac 的安全性。但在使用 Mac 时请记住上述所有内容,以确保受到恶意软件攻击的机会尽可能小。
在 Google 新闻上关注我们 1 条评论
1 条评论
我需要更新我所居住的国家政府使用的一个软件。
防火墙 正在停止更新。
我该如何克服这个困难?
即,在我更新时,仅针对此应用程序关闭网守 2 分钟。
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)